大学站防SQL注入代码(ASP版)

最新推荐文章于 2022-01-19 23:08:00 发布
最新推荐文章于 2022-01-19 23:08:00 发布
阅读量39 收藏
点赞数
原文链接:http://www.cnblogs.com/milantgh/p/4577035.html
版权

方法1: Replace过滤字符

解决方法:查找login.asp下的<from找到下边的类似username=request.Form(”name”)

pass=request.Form(”pass”)
修改为:username=Replace(request.Form(”name”), “’”, “’’”)

pass=Replace(request.Form(”pass”), “’”, “’’”)
语法是屏蔽’和’’字符来达到效果.

方法2:在conn.asp 内引入safe.asp文件
注意:前提是登陆页面有引入conn.asp文件
把以下代码保存为safe.asp

程序代码

<%

Dim Query_Badword,Form_Badword,i,Err_Message,Err_Web,name

Err_Message = 3

Err_Web = “safe.htm”

’出错时转向的页面

Query_Badword=”’|and|select|update|chr|delete|%20from|;|insert|mid|master.|set|chr(37)|=”

’在这部份定义get非法参数,使用”|”号间隔

Form_Badword=”’|(|)|;|=”

’在这部份定义post非法参数,使用”|”号间隔

On Error Resume Next

if request.QueryString”" then

Chk_badword=split(Query_Badword,”|”)

FOR EACH Query_Name IN Request.QueryString

for i=0 to ubound(Chk_badword)

If Instr(LCase(request.QueryString(Query_Name)),Chk_badword(i))0 Then

Select Case Err_Message

Case “1″

Response.Write “alert(’传参错误!参数 “&name&” 的值中包含非法字符串! 请不要在参数中出现:and update delete ; insert mid master 等非法字符!’);window.close();”

Case “2″

Response.Write “location.href=’”&Err_Web&”’”

Case “3″

Response.Write “alert(’传参错误!参数 “&name&”的值中包含非法字符串! 请不要在参数中出现:and update delete ; insert mid master 等非法字符!’);location.href=’”&Err_Web&”’;”

End Select

Response.End

End If

NEXT

NEXT

End if

if request.form”" then

Chk_badword=split(Form_Badword,”|”)

FOR EACH name IN Request.Form

for i=0 to ubound(Chk_badword)

If Instr(LCase(request.form(name)),Chk_badword(i))0 Then

Select Case Err_Message

Case “1″

Response.Write “alert(’出错了!表单 “&name&” 的值中包含非法字符串! 你的非法操作已记录,请马上停止非法行为!’);window.close();”

Case “2″

Response.Write “location.href=’”&Err_Web&”’”

Case “3″

Response.Write “alert(’出错了!参数 “&name&”的值中包含非法字符串! 谢谢您光临!,请停止非法行为!’);location.href=’”&Err_Web&”’;”

End Select

Response.End

End If

NEXT

NEXT

end if

%>

案例:http://www.wooyun.org/bugs/wooyun-2010-024354

转载于:https://www.cnblogs.com/milantgh/p/4577035.html

weixin_30487317
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ASP防止跨站脚本和SQL注入代码
小宇飞刀的BLOG
07-22 8528
使用方法如下:1. 把以下代码保存为_safe.asp,然后放到站点根目录即可。 <% 'Code by xieyunc On Error Resume Next if request.querystring]*?>|^\+/v(8|9)|\bonmouse(over|move)=\b|\b(and|or)\b.+?(>|<|=|\bin\b|\blike\b)|/\*.+?\*/|<\s*s
asp中如何防cookie注入
yzhjisji的专栏
08-18 1549
该文件可以包含在任何需要调用数据库的ASP文件头部,直接过虑掉非法注入 调用方法为: Dim Fy_Post,Fy_Get,Fy_cook,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr,aa,numOn Error Resume Nextnum = 100 新定义参数 指定字符长度Fy_In = "|exec|insert|select|delete|update|d
Safe3通用asp防注入代码
weixin_30751947的博客
12-19 98
<% 'Copy Right By Safe3 www.safe3.cn if request.querystring<>"" then stopinjection(request.querystring) if request.Form<>"" then stopinjection(request.Form) if request.Cookies<&...
尝试修改ASP的 safe3过滤器代码
qq_25001323的博客
05-31 396
本人是某公司的网站管理员,为了加强网站安全性能,需要过滤页面间传值以防止非法用户攻击,于是曾一度在网上找相关的ASP过滤代码,发现有一个safe3的ASP过滤代码很流行,可是本人对其代码逻辑一直难以理解,而且代码的过滤效果也不令人满意,于是通过多次试验,对代码进行了修改,不当之处请大家提出 修改后代码如下: <% 'Code by safe3 On Error Resume...
完美学校网站系统全站源代码学校网站模板下载
01-10
学校网站系统全站源代码学校网站模板下载,学校网站源码学校网页模板正式,学校网站管理系统源码,学校模板正式,学校网站管理系统全站源码正式,后台管理从前台网站输入http://***.***.***/login.asp 进入后台管理...
JAVA上百实例源码以及开源项目源代码
09-17
 Java局域网通信——飞鸽传书源代码,大家都知道VB、VC还有Delphi的飞鸽传书软件,但是Java的确实不多,因此这个Java文件传输实例不可错过,Java网络编程技能的提升很有帮助。 Java聊天程序,包括服务端和...
新闻发布系统(Asp.net) C#
12-03
这是本人在大二苦学了一个月所做的,基本功能都实现了,前后台还是做得挺不错,有用到SQL防注入,cookie记录用户状态,Javascript特效,修改下即可使用,数据库用的是sql server 2008,是本人进大学第一个相对完整的...
大型学校网站源码学校网页模板正式
05-14
最为成熟通用的asp学校网站源码和自带的学校网页模板,也适合于建立学院网站,职业学校网站,培训学校网站,大学学校网站,大专学校网站,高职高专学校网站,电脑学校网站的学校网站建设中的智能网站程序,提供全部网站程序...
asp终极防范SQL注入漏洞
chinet_bridge的专栏
10-11 1501
其实SQL注入漏洞并不可怕,知道原理 + 耐心仔细,就可以彻底防范! 下面给出4个函数,足够你抵挡一切SQL注入漏洞!读懂代码,你就能融会贯通。 注意要对所有的request对象进行过滤:包括 request.cookie, request.ServerVariables 等等容易被忽视的对象: 复制代码 代码如下: function killn(byval s1)
记一次某大学sql注入到getshell
渗透测试研究中心
01-19 250
0x01 前言目标是一大学,在一次挖洞过程中遇到个sql注入,尝试进一步利用扩大危害,漏洞已报送平台进行了修复0x02 sql注入getshell失败在id处连续加两个单引号都报错,经过探测发现是数字型的注入且过滤了空格,这里可以用/**/代替于是直接上sqlmappython sqlmap.py -u url --batch --tamper=space2comment.py –dbs 发现是...
大学教务网站的SQL注入[原创]
liswa 电脑备忘录
11-08 2410
在之前因为没有做SQL过滤,被我警告过一次的了,后来应该是看到了提醒,所以基本上使用get提交参数和的地方都做了过滤了,(但是我上次留下的0x2001映射到C盘的虚拟目录还没有被删除,管理员真是大意啊!可惜的是只能浏览,没有写入等权限了——呵呵,下面有四六级考试的成绩打包,还有数据的内容,不过我对这些数据向来不怎么理会,也没有想过泄漏之类的),对于只有webshell这样的事情我也没有什么兴趣对于
Web站点防注入注意事项
weixin_30481087的博客
05-18 118
1. 防止页面注入 a) 限制所有页面输入框的输入格式、输入类型、输入长度以及输入字符。例如:禁止输入“‘”, ”;”等特殊字符,并限制输入数字的长度,对于输出的内容进行HtmlEncode格式化输出; b) 页面程序需要过滤所有post或get请求中的参数信息中非法字符,对所有的QueryString信息过滤,对于每一个QueryString[“name”]都要加上AntiXss.HtmlEnc...
前18大旋转修整器企业占据全球87%的市场份额.docx
05-06
前18大旋转修整器企业占据全球87%的市场份额
Planet-SkySat-Imagery-Product-Specification-Jan2020.pdf
05-06
SKYSAT IMAGERY PRODUCT SPECIFICATION PLANET.COM VIDEO Full motion videos are collected between 30 and 120 seconds by a single camera from any of the active SkySats. Videos are collected using only the Panchromatic half of the camera, hence all videos are PAN only. Videos are packaged and delivered with a video mpeg-4 file, plus all image frames with accompanying video metadata and a frame index file (reference Product Types below)
Screenshot_20240506_133458_com.netease.yhtj.vivo.jpg
05-06
Screenshot_20240506_133458_com.netease.yhtj.vivo.jpg
2019年A~F题特等奖论文合集.pdf
05-06
大学生,数学建模,美国大学生数学建模竞赛,MCM/ICM,历年美赛特等奖O奖论文
雷达物位变送器安装和操作手册
05-06
雷达物位变送器安装和操作手册
node-v11.6.0-linux-armv7l.tar.xz
最新发布
05-06
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
2023年防sql注入全面过滤 aspsql注入代码大全
10-24
在编写 ASP 代码时,我们需要采取一系列措施来防止 SQL 注入攻击。 首先,我们需要对输入数据进行验证和过滤。在接收用户输入之前,可以使用内置的 ASP 函数如`Trim()`,`Replace()`等来去除输入数据中的空格和特殊...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值